TR/Proxy.Dlena.AT - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Proxy.Dlena.AT
La date de la découverte:	01/12/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	29.696 Octets
Somme de contrôle MD5:	e7e78b720c8f95b1cc4149853b671d12
Version VDF:	6.36.01.109
Version IVDF:	6.36.01.114

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Proxy.Win32.Dlena.at
   • F-Secure: Trojan-Proxy.Win32.Dlena.at
   • Sophos: Troj/Proxy-FF
   • Grisoft: Proxy.JBB

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Le fichier suivant est créé:

– %SYSDIR%\rpcc.dll

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://193.37.152.88/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://205.209.179.44/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://66.185.126.201/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://66.185.126.34/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

Registre Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   rpcc]
   • "DllName"="%SYSDIR%\rpcc.dll"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
   • "Id"=dword:787d1157
   • "Lid"=dword:0000001a

Envoie de messages Serveur MX:
Il a la capacité de contacter un des serveurs MX suivants:
   • mindspring.com
   • yahoo.com
   • microsoft.com

Porte dérobée Serveur de contact:
Le suivant:
   • %URL du fichier téléchargé%

En conséquence la possibilité de contrôle à distance est fournie.

Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Envoyer des e-mails

L'injection du code viral dans d'autres processus – Il injecte le fichier suivant dans un processus: rpcc.dll

    Tous les processus suivants:
   • svchost.exe
   • winlogon.exe

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• PePack

Voir la description brève ici.

Description inséré par Adriana Popa sur Fri, 12 Jan 2007 11:02 (GMT+1)
Description mise à jour par Adriana Popa sur Fri, 12 Jan 2007 11:16 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour